MagMike Posted September 2, 2008 Posted September 2, 2008 В последнее время от юзеров постоянно валят DDOS-ы. причем, зачастую атаки идут сразу от нескольких моих пользователей на один и тот же порт. Понаблюдав за такими пользователями, выяснил, что от всех них есть трафик на определенные хосты на порт 1863/tcp. по виду трафик похож на IRC-протокол. диалог между пользователем и сервером 66.252.13.245 выглядел примерно так (> - сообщение на сервер, < - сообщение от сервера): > JOIN #t# l4mo < \XP|oLTEyN\!l.aMe.r@user.mydomain.ru JOIN :#t# :R217-13.prtc.net 332 \XP|oLTEyN\ #t# :!all 1119495524 7000 9999 :R217-13.prtc.net 333 \XP|oLTEyN\ #t# ghdgsg 1220224290 как только пользователю пришло это сообщение, от него повалил dos в виде tcp-пакетов на 66.186.37.100:7000 присмотревшись к "1119495524 7000", можно заметить, что 1119495524 = 0x42BA2564. 42.BA.25.64 = 66.186.37.100. после того, как заблокировал поток от пользователя на сервер 66.252.13.245, они потеряли связь друг с другом и после этого дос на 66.186.37.100 прекратился. Т.е., лишив пользователя (а точнее троянов, работающих на его компе) доступа к серверу, играющему роль командного пункта, откуда ведется управление DDoS-ами, можно существенно облегчить жизнь своей сети и своми внешним каналам. Вообще, порт 1863 - вроде как MSN-овский, но ничто не мешает использовать этот порт для работы ботнет-ов но можно блочить пакеты, анализируя их содержимое. к примеру, те, которые содержат команды IRC-протокола: USER, NICK, JOIN, и т.д. У кого какие мысли по поводу обезглавливанию ботнетов, путем блокирования трафика на "командные пункты"? Может стОит создать какую-то ветку, где оперативно обмениваться списками адресов таких серверов? Вставить ник Quote
nuclearcat Posted September 2, 2008 Posted September 2, 2008 В последнее время от юзеров постоянно валят DDOS-ы. причем, зачастую атаки идут сразу от нескольких моих пользователей на один и тот же порт.Понаблюдав за такими пользователями, выяснил, что от всех них есть трафик на определенные хосты на порт 1863/tcp. по виду трафик похож на IRC-протокол. диалог между пользователем и сервером 66.252.13.245 выглядел примерно так (> - сообщение на сервер, < - сообщение от сервера): > JOIN #t# l4mo < \XP|oLTEyN\!l.aMe.r@user.mydomain.ru JOIN :#t# :R217-13.prtc.net 332 \XP|oLTEyN\ #t# :!all 1119495524 7000 9999 :R217-13.prtc.net 333 \XP|oLTEyN\ #t# ghdgsg 1220224290 как только пользователю пришло это сообщение, от него повалил dos в виде tcp-пакетов на 66.186.37.100:7000 присмотревшись к "1119495524 7000", можно заметить, что 1119495524 = 0x42BA2564. 42.BA.25.64 = 66.186.37.100. после того, как заблокировал поток от пользователя на сервер 66.252.13.245, они потеряли связь друг с другом и после этого дос на 66.186.37.100 прекратился. Т.е., лишив пользователя (а точнее троянов, работающих на его компе) доступа к серверу, играющему роль командного пункта, откуда ведется управление DDoS-ами, можно существенно облегчить жизнь своей сети и своми внешним каналам. Вообще, порт 1863 - вроде как MSN-овский, но ничто не мешает использовать этот порт для работы ботнет-ов но можно блочить пакеты, анализируя их содержимое. к примеру, те, которые содержат команды IRC-протокола: USER, NICK, JOIN, и т.д. У кого какие мысли по поводу обезглавливанию ботнетов, путем блокирования трафика на "командные пункты"? Может стОит создать какую-то ветку, где оперативно обмениваться списками адресов таких серверов? Очень было бы кстати... у меня кстати тоже есть "зараженные" по этому адресу. Счас заблокирую. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.